Destacados

Hackeo a Suno revela cómo entrenó su IA musical

todayjulio 16, 2026

Fondo
share close

hackeo-suno-datos-entrenamiento-ia-musical

El hackeo a Suno destapa de dónde salió la música que genera su inteligencia artificial

Una filtración que confirma lo que la industria musical sospechaba

Durante casi dos años, la pregunta incómoda alrededor de Suno fue siempre la misma: ¿con qué música se entrenó exactamente la herramienta de inteligencia artificial más grande del mercado? Ahora, un hackeo a la compañía acaba de responderla con un nivel de detalle que ni las demandas judiciales habían logrado.

Según una investigación del medio independiente 404 Media, publicada el 15 de julio de 2026, un hacker que vulneró los sistemas de Suno compartió código fuente y documentación interna que muestran cómo la empresa extrajo millones de canciones y letras de plataformas como YouTube Music, Deezer y Genius, además de bibliotecas de música libre y podcasts. El incidente también dejó expuesta información de pago de cientos de miles de usuarios a través de Stripe.

El hackeo a Suno importa por dos razones. Primero, porque ofrece una radiografía inédita de cómo se construyen los modelos de IA generativa musical, un proceso que las empresas del sector suelen guardar bajo llave. Segundo, porque revela que quienes pagan por usar estas herramientas también pueden terminar pagando con su privacidad. En este artículo te explicamos qué se filtró, de dónde tomó Suno su material de entrenamiento y qué significa todo esto para artistas, sellos y usuarios.

Qué reveló el hackeo sobre el entrenamiento de la IA de Suno

El material filtrado incluye código fuente que, según 404 Media, corresponde a los años 2023 y 2024, con instrucciones de scraping (extracción automatizada de datos) y anotaciones internas que detallan el alcance de la operación. Los comentarios dentro de los archivos mencionan explícitamente fuentes como YouTube Music, Deezer, Genius, Freesound, Jamendo y el International Music Score Library Project (IMSLP), con la indicación de que el contenido «no musical» debía filtrarse.

Las cifras internas dan una idea de la escala. Un archivo dedicado a YouTube Music registraba más de 2 millones de clips musicales ingresados hasta su última actualización. Otros documentos describen conjuntos de datos que suman decenas de miles de horas de audio: más de 113,000 horas provenientes de YouTube Music, otras 152,000 horas de una variante etiquetada de la misma plataforma, más de 62,000 horas de la biblioteca de stock Pond5, unas 19,500 horas de IMSLP, 17,600 horas de Genius, 12,200 horas de Deezer y miles de horas adicionales de Jamendo y Freesound. En conjunto, se trata de varias décadas de música continua.

El código también muestra métodos específicos. Parte de los scripts buscaba versiones a capela de canciones en YouTube, presumiblemente para entrenar la generación de voces. Además, la evidencia sugiere que Suno utilizó los servicios de Bright Data, una empresa que vende herramientas e infraestructura de scraping mediante proxies, para extraer canciones de YouTube sin ser bloqueada.

Los podcasts tampoco quedaron fuera. Con ayuda de la herramienta PodcastIndex, la compañía identificó unos 420,000 podcasts con al menos cinco episodios de media hora, con la meta de descargar cerca de un millón de horas de audio hablado.

Cómo ocurrió el ataque y qué datos de usuarios quedaron expuestos

El hacker, identificado con el alias ellie.191, explicó a 404 Media que accedió a los sistemas de Suno en noviembre de 2025 mediante un ataque de cadena de suministro: comprometió las credenciales de un empleado utilizando el gusano informático Shai-Hulud, que permite robar accesos a GitHub y a servicios en la nube. Sobre su motivación, afirmó simplemente que le gusta hackear cualquier cosa.

Más allá del código, el atacante aseguró haber accedido a la lista de clientes de Suno, que incluía correos electrónicos o números de teléfono —según el método de registro de cada persona— y detalles de pago vinculados a Stripe. 404 Media contactó a una muestra de esos usuarios, y algunos confirmaron que se habían registrado con los datos filtrados y que nunca recibieron notificación alguna sobre la brecha.

Suno, por su parte, reconoció el incidente. En declaraciones enviadas a Variety y a otros medios, la empresa confirmó que la brecha ocurrió en noviembre de 2025, aseguró que fue contenida rápidamente y sostuvo que involucró principalmente «código fuente obsoleto que ya no se utiliza en Suno» (traducción propia). La compañía también afirmó que no se comprometió información personal sensible, argumentando que no almacena números completos de tarjetas de crédito, y que por el alcance limitado del incidente no se consideró obligada a notificar a sus usuarios. Esa decisión, a la luz de los testimonios recogidos por la prensa, es uno de los puntos más cuestionados del caso.

El contexto legal que rodea a Suno desde hace dos años

Para entender la magnitud de esta filtración hay que recordar que Suno no es una empresa cualquiera dentro del ecosistema de la música creada con inteligencia artificial: es la más grande del mercado, capaz de producir pistas completas en minutos a partir de instrucciones de texto. Hacia finales de 2025, su volumen de producción era tan alto que, según reportes de la prensa especializada, generaba cada mes el equivalente a todo el catálogo de Spotify.

Ese crecimiento vino acompañado de conflictos legales. Una coalición de grandes sellos —incluidos Universal Music Group y Sony Music Entertainment, coordinados por la Recording Industry Association of America (RIAA)— demandó a la compañía por entrenar sus modelos con millones de canciones protegidas por derechos de autor. Warner Music Group, que formaba parte del litigio, se retiró tras alcanzar un acuerdo y hoy colabora con Suno en el desarrollo de un modelo de IA con licencias.

La postura pública de la empresa ha cambiado con el tiempo. Al inicio negó estar recolectando grabaciones propiedad de artistas y sellos; luego pasó a una defensa basada en el «uso justo» (fair use), admitiendo en documentos judiciales que sus datos de entrenamiento incluían esencialmente toda la música de calidad razonable accesible en internet abierto. La RIAA la acusó específicamente de extraer canciones directamente de YouTube, algo que la plataforma prohíbe en sus términos de servicio. Los datos filtrados ahora confirman esa acusación con archivos, cifras y nombres de fuentes concretas.

Qué significa esta noticia para artistas, productores y usuarios

Para los artistas y productores independientes, la filtración aporta algo que hasta ahora escaseaba: evidencia técnica concreta. Ya no se trata solo de deducciones a partir de resultados sospechosamente parecidos a canciones existentes, sino de código con nombres de plataformas, contadores de clips y horas de audio documentadas. Ese material podría pesar en los litigios en curso y en futuras negociaciones de licencias entre empresas de IA y titulares de derechos.

Para quienes usan Suno como herramienta creativa, la lección es distinta y más inmediata: sus correos, teléfonos y datos de pago estuvieron al alcance de un tercero, y la empresa optó por no avisarles. Si tenés una cuenta en la plataforma, es recomendable cambiar la contraseña, activar la verificación en dos pasos si está disponible y vigilar movimientos extraños en el método de pago asociado.

Y para la escena electrónica en general —incluida la local—, el caso vuelve a poner sobre la mesa una discusión que no es abstracta: el trabajo de DJs, productores y sellos pequeños que suben su música a plataformas abiertas como Jamendo o Freesound también terminó alimentando estos modelos, muchas veces sin conocimiento ni compensación.

Lo que otros artículos suelen pasar por alto

La mayoría de la cobertura se ha centrado en la lista de plataformas afectadas, pero hay tres detalles que merecen más atención. El primero es el rol de los intermediarios: el uso de una empresa comercial de scraping como Bright Data muestra que existe toda una industria auxiliar que facilita la recolección masiva de datos, y que la responsabilidad no recae únicamente en las empresas de IA.

El segundo es la asimetría en la transparencia. Suno ha defendido públicamente que entrena con archivos «disponibles públicamente», pero fue necesario un ataque informático —no una auditoría, no un requerimiento judicial completo— para que el público conociera el detalle de las fuentes. Eso dice mucho sobre el nivel de opacidad con el que opera el sector.

El tercero es la gestión de la brecha de seguridad. Restarle importancia calificando el material como código obsoleto no responde la pregunta central: si los datos de entrenamiento descritos en ese código fueron los que construyeron los modelos actuales, su antigüedad no los vuelve irrelevantes; al contrario, documenta el origen del producto que hoy se comercializa.

Un punto de inflexión para la música generada con IA

El hackeo a Suno no cambia por sí solo el rumbo de las demandas ni de la industria, pero sí altera el terreno de juego: por primera vez existe una mirada interna y detallada a la maquinaria de recolección de datos detrás de uno de los generadores de música con IA más usados del mundo. Las cifras filtradas, los métodos descritos y la exposición de datos de usuarios convierten este caso en una referencia obligada para el debate sobre derechos de autor, privacidad y transparencia en la era de la inteligencia artificial.

Lo que venga ahora —nuevas acciones legales, acuerdos de licencia como el de Warner o regulaciones más estrictas sobre el scraping— dependerá en buena medida de cómo la industria y los tribunales procesen esta evidencia. Mientras tanto, el episodio deja una certeza para artistas y oyentes por igual: en el negocio de la música generada por IA, la materia prima siempre fue la música de alguien más.

Escrito por Pulsar Admin

Valóralo

Comentarios de las entradas (0)

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *